• English
Shop

| | IT Security, Modern Workplace 0

Teil 3 – Configuration Manager Co-Management und Tenant attach

Nach viel zu langer Zeit und vielen Nachfragen (Danke dafür!) geht es nun mit der Blog-Reihe rund um modernes Endpoint Management weiter.

Nach Windows Update for Business und dem Cloud Management Gateway geht es heute um die Symbiose aus dem klassischen und modernen Endpoint Management mit Microsoft Werkzeugen.

Nehmen wir einmal an, ein Unternehmen hat über viele Jahre hohe Investitionen in die gut funktionierende Geräteverwaltung mittels Configuration Manager (früher gerne mit SCCM abgekürzt) getätigt und hat jetzt die Herausforderung, moderne Funktionen wie das Löschen der Geräte bei Verlust, Compliance Policies für Conditional Access oder das redeployment per Windows Autopilot zu verwenden.

Eine Möglichkeit wäre, dass Gerätemanagement komplett auf ein neues Management-System wie Intune umzustellen – mit hohem Aufwand und vermutlich auch hohen Kosten.

Eine weitere Möglichkeit besteht darin, beide Welten – die klassische Welt aus Configuration Manager und Active Directory sowie die moderne Welt aus Intune und Azure Active Directory – miteinander zu verbinden. Hierdurch kann von bisher getätigten Investitionen länger profitiert werden – bei gleichzeitiger Ausrichtung des Endpoint Managements in Richtung Zukunft.

In diesem Artikel möchte ich einen kurzen Überblick über die Möglichkeiten der Varianten “Co-Management” und “Tenant Attach” geben.

 

Co-Management

 

Unter Co-Management versteht Microsoft die gleichzeitige Nutzung von Configuration Manager und Intune, um verschiedene Aspekte des Endpoint Managements auf Windows Geräten zu verwalten. Möglich wird dies durch den in Windows 10 eingebauten Mobile Device Management Stack, der durch Intune angesprochen wird, sowie den installierten Configuration Manager Client.

Das Gerät ist sowohl mit dem vorhandenen Active Directory als auch mit dem Azure Active Directory verbunden.

Im folgenden Diagramm ist der Co-Management Modus exemplarisch dargestellt.

Quelle: https://docs.microsoft.com/en-us/mem/configmgr/comanage/overview

Über die Configuration Manager Konfiguration wird entschieden, welche Verwaltungsaufgaben (z.B.: Windows Defender Verwaltung, Update Management) von welcher Managementinstanz verwaltet werden. Hierbei lassen sich jeweils Pilot-collections verwenden, um die Aufgaben granular und kontrolliert von Configuration Manager an Intune zu übergeben.

Quelle: https://docs.microsoft.com/en-us/mem/configmgr/comanage/how-to-switch-workloads

Co-Management kann auch in Konsolidierungsszenarien interessant sein, da sich mehrere Configuration Manager Hierarchien mit einem Intune Tenant verbinden lassen.

Durch Co-Management werden für die Clients Funktionen wie Remote-Wipe, Compliance-Policies und die Nutzung von Windows Autopilot möglich, ohne dass die Geräte selbst aufwändig umkonfiguriert werden müssen.

Tenant Attach

Tenant Attach bietet die Möglichkeit, Ihre bestehende Configuration Manager Infrastruktur an das Microsoft Endpoint Manager admin center (endpoint.microsoft.com) anzubinden, um alle verwalteten Geräte in einer einheitlichen Konsole darzustellen.

Hierzu gehören Windows Geräte die per Configuration Manager und/oder Intune verwaltet werden, sowie Ihre Android, MacOS oder iOS Geräte. Auch Windows Server können so mit allen anderen Geräten in der gemeinsamen Übersicht dargestellt werden.

Quelle: https://docs.microsoft.com/en-us/mem/configmgr/tenant-attach/device-sync-actions

Im Gegensatz zum oben beschriebenen Co-Management Modus wird bei der Variante Tenant-Attach das Endgerät nicht umkonfiguriert. Es bleibt wie bisher im Active Directory und wird von Configuration Manager verwaltet. Die Verbindung zum Endpoint Manager admin center erfolgt ausschließlich über die vorhandene Configuration Manager Infrastruktur.

 

Auch über Tenant attach sind Verwaltungsaufgaben aus der Ferne möglich, jedoch andere als im Co-Management-Fall, da der MDM-stack des Windows Geräts nicht verwendet wird.

Diese remote Actions sind u.a.:

  • Ausführen der Synchronisations-Zyklen
  • CM-Pivot im Webbrowser (preview)
  • Anzeige von Client-Details (preview).

 

In der Entwicklung befindet sich aktuell ein Feature namens “Device Timeline”, welches sämtliche Veränderungen an der Gerätekonfiguration darstellt und somit dem IT-Service die Arbeit deutlich erleichtern kann.

Tenant-Attach befindet sich noch am Anfang der Entwicklung. Es ist davon auszugehen, dass in den nächsten Monaten noch viele nützliche Funktionen dazu kommen werden.

Methoden wie Co-Management und Tenant Attach und deren Möglichkeiten werden sicher in der Zukunft ein fester Bestandteil eines Endpoint Managements sein, das auch noch über Jahre die klassische und die moderne Welt der Geräteverwaltung verbinden muss. So lassen sich getätigte Investitionen und vorhandene Prozesse langfristig nutzen, ohne die neuen Verwaltungsfunktionen zu vernachlässigen.

Kommende Teile dieser Blogreihe:

Teil 1: VPN Split tunneling und Windows Update for Business

Teil 2: Microsoft Endpoint Configuration Manager (früher SCCM) und Cloud Management Gateway 

Teil 3: Configuration Manager Co-Management und Tenant attach

Teil 4: intune – VPN-free Device Management (folgt)

Teil 5: intune – Sichere Bereitstellung von Unternehmensdaten auf privaten mobilen Endgeräten (folgt)

Teil 6: intune & Autopilot – Bereitstellung neuer Geräte direkt ins Home Office (folgt)

 

QuickTip:

Kennen Sie schon den Configuration Manager Community Hub?

Hier finden Sie nützliche Dinge aus der Community wie zum Beispiel fertige Queries oder Skripte die Sie kostenfrei verwenden können.

Mehr Informationen dazu finden Sie hier: https://techcommunity.microsoft.com/t5/configuration-manager-blog/now-available-configuration-manager-community-hub/ba-p/1452294